«Солар»: шпионаж – основная цель хакеров при атаках на промышленность
Согласно аналитическому отчету ГК «Солар», каждая третья успешная кибератака на промышленность имеет признаки шпионажа. А основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними. Особый интерес к промышленности (особенно к тяжелой и ТЭК) виден и в даркнете: хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными. Об этом CNews сообщили представители «Солар».
Отчет составлен на основе анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведенной центром Solar AURA; данных с расследований центра Solar 4RAYS и работ, проведенных отделом анализа защищенности.
Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, встречаются попытки подбора пароля (брутфорса) в том числе от критичных систем, административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа), многочисленные блокировки учетных записей (говорят о множественных попытках брутфорса). Всего же за последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак.
При этом среди общего объема данных, утекших в сеть за последние годы, к промышленности относится только 1%, еще 3% относятся к телеком-отрасли, отмечают эксперты центра мониторинга внешних цифровых угроз Solar AURA. Речь идет о попытках кражи как технической информации, так и коммерческих данных о клиентах и сделках.
«Такого рода инциденты редко становятся достоянием общественности: осуществив успешное проникновение в инфраструктуру организации, злоумышленники стараются не привлекать излишнего внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках. Это еще раз указывает на то, что шпионаж – основная цель кибератак в отношении отрасли промышленности. В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок», – сказал директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.
В промышленности встречаются и атаки с применением массового вредоносного ПО (ВПО). По данным мониторинга Solar JSOC, почти 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип «вирус обнаружен на хосте и не удален». Особенно актуальным для промышленности становятся атаки вирусов-майнеров (почти 4% подтвержденных инцидентов). Это связано с масштабами распределенных инфраструктур и сложностью контроля соблюдения политик ИБ в них. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки «пытается» провести подбор пароля или проэксплуатировать уязвимость EternalBlue (из-за которой возникли в свое время эпидемии WannaCry и NotPetya).
По данным с сенсоров и ханипотов на сетях «Ростелекома», из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. При этом, по оценке центра исследования киберугроз Solar 4RAYS, в 2024 г. средний показатель продолжительности заражения для организаций из разных отраслей составляет 11,9 месяца. Для промышленных сетей – 12,5 месяцев, а для телекоммуникационных – 11,3 месяца. Однако в 2023 г. значения были ниже – 6,73 месяца для всех отраслей, и 8,5 и 11,3 месяца – для промышленности и телекома, соответственно.
По результатам анализа защищенности организаций, на сектор промышленности и телекома приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. Внутри этих отраслей больше всего слабых мест (41% уязвимостей) найдено в энергетике. Еще 25% – в телекоме, далее следуют нефтегазовая отрасль (18%) и производство (16%). На телеком и энергетику также приходится большая часть наиболее опасных (критичных для бизнеса) уязвимостей.
Большинство обнаруженных уязвимостей в реализованных проектах связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Но не теряют актуальности риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).
«Как и в других отраслях, основным источником рисков кибератак в телекоме и промышленности является использование слабых паролей, что говорит о необходимости повышения навыков ИБ у сотрудников и внедрения более строгой парольной политики. Эти слабые места видят и киберпреступники, о чем красноречиво говорит статистика инцидентов и аналитика расследований. Попав в корпоративные сети промышленных предприятий, злоумышленники собирают не только информацию о коммерческой деятельности организации (ее конкурентах, счетах и т.п.), но и технические данные и информацию, которая поможет им получить доступ в технологический сегмент. А это чревато уже просто потерями конкретного бизнеса, но и массовыми авариями и серьезными последствиями для целых регионов», – сказал Владимир Дрюков.
***
Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов. С 2015 г. предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более тысячи крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: «Безопасная разработка программного обеспечения», «Управление доступом», «Защита корпоративных данных», «Детектирование угроз и хакерских атак». Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала. Компания предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие. ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности. Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры России в рамках национального проекта «Цифровая экономика Российской Федерации» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения. Штат компании — более 1,8 тыс. специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.